網(wǎng)絡安全攻防戰(zhàn)

今年RSA大會的主題是“機會的力量”。安博通相關負責人在參加RSA大會的期間，發(fā)生了一個小故事。在RSA大會主辦地美國下車拍照的20分鐘時間里，停在景點的車子竟然被砸了，車子里面的包等貴重物品被偷走，而當?shù)鼐煲埠軣o奈，這種情況經(jīng)常發(fā)生，因為當?shù)氐闹伟埠懿?，而且到處都沒有攝像頭，犯罪的成本非常低，任何人都能在很短的時間作案然后逃跑，但是被盜物品竟然在很遠之外的警局被找到。

由此可以聯(lián)想到網(wǎng)絡安全行業(yè)是不是也是這樣？攻擊的成本是不是太低了？其實攻擊者并沒有想象的那么神秘，也并不一定需要多么高深的技術，只要有個工具就可以發(fā)起一場攻擊。發(fā)現(xiàn)一個漏洞就可以在任何時候任何地點進行攻擊，但是防御者卻要時刻做好防御措施，關鍵漏洞還沒辦法完全杜絕，就像本屆RSA主席Rohit Ghai說的“網(wǎng)絡越發(fā)達，漏洞也會越來越多”。

這種不平等的較量，或者叫攻擊者和防御者的較量，就像一場戰(zhàn)爭一樣。決定一場“戰(zhàn)爭”的勝利有很多因素，下面主要從“身”“心”“靈”三個方面來介紹。

“身”是指武器裝備。打贏一場戰(zhàn)爭首先要有基本的武器裝備。網(wǎng)絡安全也是一樣，基本的設備肯定要有，像防火墻、IPS、VPN等都要有，所以在今年的RSA大會上，傳統(tǒng)的提供基本設備的廠商還是很多的。

“心”是指情報工作。情報工作可以很好地了解敵人的戰(zhàn)術兵力情況，提前部署，對戰(zhàn)爭可能的動向進行預判，才有可能打贏戰(zhàn)爭。網(wǎng)絡安全中也有情報，像大量的日志、流量、軌跡、行為等都是情報，而且這些情報由人來是分析不了的，必須要借助大數(shù)據(jù)，需要敏捷的大腦，需要機器來學習，就像RSA主席說的，“感謝機器人，感謝人工智能”。今年的RSA大會上，IBM展示了Watson機器人去做情報分析，明年可能Google會展示AlphaGo來做情報分析，Watson以前是做商業(yè)決策的，包括IBM的營銷決策，數(shù)據(jù)分析，商業(yè)分析，今年是首次用Watson做安全情報分析。

“靈”是指行動力和落實力。戰(zhàn)爭除了要有武器和情報，最重要的是要有上傳下達的執(zhí)行力。網(wǎng)絡安全中也有策略和命令，比如訪問控制原則，流量調度原則，安全控制原則。但是現(xiàn)在的網(wǎng)絡還是有很多上面的策略下面不執(zhí)行的情況，很多還是幾年前的靜態(tài)表格策略，但是網(wǎng)絡運維人員可能發(fā)生了很大的變化，這個過程中人的權限就會發(fā)展很大的變化，策略很難貫穿下去。

總結到網(wǎng)絡安全中就是，身體要協(xié)調，多個產品組合使用；心靈就是大腦一定要聰敏，利用大數(shù)據(jù)人工智能來分析；靈魂要落地，策略要持續(xù)的監(jiān)控和執(zhí)行。

網(wǎng)絡安全除了做到以上三點外，還要關注以下幾點。首先要知道防御的本質是什么？防御的本質就是縮小暴露面，這樣自然就會延長攻擊的時間，暴露面太大就會容易被攻擊，延長攻擊時間，這樣成本就會變高。方法有很多，比如這次很多廠商提出的SDP的概念，就是把所有的網(wǎng)絡安全策略隱藏起來，做成動態(tài)的策略，網(wǎng)絡中部署SDP Controller(控制器)，控制器在訪問者和資源之間建立動態(tài)和細粒度的“業(yè)務訪問路徑”。不同于傳統(tǒng)的路由和VPN隧道，SDP的隧道是按照業(yè)務需求來生成的，也就是說這是一種單次和單業(yè)務的訪問控制策略，SDP控制器建立的訪問規(guī)則只對被授權的用戶和服務開放，密鑰和策略也是動態(tài)和僅供單次使用的。通過這種類似“白名單”的訪問控制形式，網(wǎng)絡中未被授權的陌生訪問在TCP建立階段就是完全被屏蔽和拒絕，這種“臨時并單一”的訪問控制方式，將私有云資源對非法用戶完全屏蔽，這樣便大大防止了門外“野蠻陌生人”對云的暴力攻擊(如DDoS流量攻擊)、精準打擊(如APT高級持續(xù)威脅)、漏洞利用(如心臟出血漏洞)等，通過構建“暗黑網(wǎng)絡”來縮小網(wǎng)絡的暴露面。同時配合策略可視化和流量可視化的手段，對這些海量動態(tài)的“業(yè)務路徑”進行自動分析和持續(xù)監(jiān)控，以實時發(fā)現(xiàn)錯誤路徑、不合規(guī)路徑、被篡改的路徑、被入侵的路徑等風險隱患，進一步作出策略修改和補救措施，從而阻止威脅蔓延擴散。

其次是威懾力的作用，安全為什么要講威懾力?為什么車會被砸掉，因為當?shù)貨]有攝像頭，作案后很難抓到。有攝像頭的話可以起到威懾作用，這樣就大大降低了犯罪率。網(wǎng)絡攝像頭其實就是網(wǎng)絡監(jiān)控，監(jiān)控的方法很多，有基于流量、策略、特征、行為、終端、服務器、網(wǎng)絡設備以及主機等的監(jiān)控。在今年的RSA大會上，網(wǎng)絡的可視化和網(wǎng)絡監(jiān)控是個非?；鸬脑掝}。

最后是數(shù)據(jù)和情報共享，今年的RSA大會上，幾乎所有的廠商都提到了數(shù)據(jù)和情報共享。國外在情報共享方面已經(jīng)做的很好了，比如Redseal與ForeScout的合作等，但是現(xiàn)在國內大部分還處于競爭狀態(tài)，很少廠商有情報共享和協(xié)作。只有大家都團結起來，才能承擔起網(wǎng)絡安全的責任。